Gestion du risque

Janvier 2010

Table des matières

Résumé

Rapport détaillé

Annexes


Résumé

Introduction

La vérification interne de la gestion du risque s'inscrit dans le cadre du Plan annuel de vérification interne fondée sur les risques pour 2009-2010 approuvé par le conseil d'administration des Instituts de recherche en santé du Canada (IRSC).

Les Instituts de recherche en santé du Canada (IRSC)
La Loi sur les IRSC, entrée en vigueur le 7 juin 2000, constitue l'organisation appelée les Instituts de recherche en santé du Canada (IRSC). Les IRSC forment un établissement public mentionné à l'annexe II de la Loi sur la gestion des finances publiques (LGFP). En tant qu'organisme gouvernemental autonome, les IRSC rendent compte au Parlement par l'entremise du ministre de la Santé. Les activités des IRSC visent toutes ultimement à atteindre l'excellence en ce qui touche la création de nouvelles connaissances et leur application en vue d'améliorer la santé de la population canadienne, d'offrir de meilleurs produits et services de santé, et de renforcer le système de santé au Canada. Les IRSC financent plus de 13 000 chercheurs et stagiaires, ainsi que 13 instituts « virtuels » , chacun étant dirigé par un directeur scientifique appuyé par le conseil consultatif de l'institut (CCI). Les instituts des IRSC sont des réseaux de chercheurs réunis pour se pencher sur d'importantes questions de santé. Chaque institut, dévolu à un domaine particulier de la santé, soutient des chercheurs ayant des objectifs communs et assure la liaison entre ceux-ci.

Risque examiné pendant la vérification

Comme l'indique la Politique sur la gestion des risques du Conseil du Trésor (CT) : « Au sens le plus large, la gestion efficace des risques assure la continuité des opérations gouvernementales, le maintien des services et la protection des intérêts du public canadien. » De plus, comme le mentionne le Cadre de gestion intégrée du risque du CT : « Le risque se rapporte à l'incertitude qui entoure des événements et des résultats futurs. Il est l'expression de la probabilité et de l'incidence d'un événement susceptible d'influencer l'atteinte des objectifs de l'organisation. [...] La gestion du risque est une approche systématique servant à déterminer la meilleure voie à prendre en cas d'incertitude en identifiant, en évaluant, en comprenant, en communiquant des questions liées aux risques et en prenant des mesures à leur égard. La gestion intégrée du risque est un processus systématique, proactif et continu pour comprendre, gérer et communiquer le risque du point de vue de l'ensemble de l'organisation. Il s'agit de prendre des décisions stratégiques qui contribuent à la réalisation des objectifs globaux de toute l'organisation. »

La vérification porte sur le risque que les IRSC n'aient pas pris de mesures suffisantes pour réduire au minimum les obstacles à la réalisation de leur mandat. Ce risque correspond à l'élément gestion des risques du Cadre de responsabilisation de gestion (CRG) du CT : « L'équipe de la haute direction définit clairement le contexte ministériel et les pratiques de gestion proactive des risques organisationnels et stratégiques. » Aux IRSC, c'est le chef des services financiers (CSF) qui joue le rôle d'agent principal de gestion du risque.

Objectif

La vérification vise à évaluer la pertinence du cadre de gestion du risque des IRSC.

Portée

La vérification couvre les pratiques officielles de gestion du risque des IRSC qui ont été établies pour orienter la prise de décisions et assurer l'atteinte des buts et des objectifs. Elle porte sur les politiques et procédures de gestion du risque, la détection des risques, l'évaluation du risque, l'évaluation des contrôles et l'atténuation des risques. Dans une grande mesure, elle exclut les processus et activités de gouvernance et surveillance, et d'amélioration continue, qui seront applicables après l'approbation du cadre de gestion du risque des IRSC.

Opinion générale des vérificateurs

Les vérificateurs ont conclu que le cadre de gestion du risque des IRSC présente des problèmes modestes : les contrôles ont leurs points faibles, mais dans l'ensemble, l'exposition au risque est limitée, car la probabilité ou les conséquences du risque sont faibles, et les gestionnaires ont repéré ces lacunes et adopté des mesures d'atténuation.

Énoncé d'assurance

La vérification du cadre de gestion du risque a été effectuée conformément à la Politique sur la vérification interne et aux normes professionnelles pertinentes du gouvernement fédéral. J'estime, en ma qualité de dirigeant principal de la vérification, que le nombre et la pertinence des procédures de vérification suivies et des éléments probants recueillis attestent l'exactitude de l'opinion exprimée dans le présent rapport. L'opinion émise s'appuie sur une comparaison des conditions qui existaient au moment de la vérification et des critères de vérification convenus avec la direction.

Résumé des points forts des contrôles internes

Pour assurer la gestion du risque, les IRSC ont mis en place les mesures clés qui suivent.

Résumé des points faibles des contrôles internes

La direction devra surveiller les aspects de la gestion du risque qui suivent.

Les vérificateurs remercient les employés et le personnel cadre pour leur coopération sans réserve dans la réalisation de cette vérification.

Dev Loyola-Nazareth, dirigeant principal de la vérification
Steven Nimmo, gestionnaire de la vérification interne
Michael Bazant, vérificateur interne
Instituts de recherche en santé du Canada

Rapport détaillé

Méthodologie et critères

L'évaluation de la gestion du risque aux IRSC a été réalisée à partir de consultations auprès de la direction et du personnel, d'un examen de la documentation, ainsi que d'une analyse des contrôles en fonction des critères de vérification. Les contrôles sont réputés adéquats lorsqu'ils sont suffisants pour réduire au minimum les risques de ne pas atteindre les objectifs.

Les critères de vérification sont inspirés du guide du CT intitulé Les contrôles de gestion de base : Un guide à l'intention des vérificateurs internes, qui a été établi à partir du CRG à l'intention des dirigeants principaux de la vérification aux fins de planification et d'assurance globale en ce qui concerne les processus de gestion du risque, de contrôle et de gouvernance.

Les critères détaillés et les conclusions sont présentés à l'annexe A du présent rapport.

La vérification s'est déroulée entre les mois d'août et octobre 2009.

Observations, recommandations et plan d'action de la direction

Le tableau suivant présente les observations et les recommandations issues de la vérification ainsi que le plan d'action de la direction visant à combler les lacunes du cadre de gestion du risque des IRSC.

Observation Recommandation Plan d'action de la direction
1. Le processus de détection des risques des IRSC tient compte des sources internes et externes de risque, comme l'indiquent le cadre provisoire de gestion du risque et le profil de risque organisationnel des IRSC. Ces derniers doivent être mis à jour pour tenir compte des autres risques liés au nouveau plan stratégique quinquennal 2009-2010 – 2013-2014, intitulé L'innovation au service de la santé, ainsi qu'à la réorganisation des IRSC correspondant à ce plan.

Le cadre de gestion du risque et le profil de risque organisationnel des IRSC ont été établis en 2008-2009 et étudiés par le comité de la haute direction (CHD) et le comité permanent de la mesure du rendement, de l'évaluation et de la vérification. En octobre 2009, les IRSC ont publié et mis à jour ces deux documents de façon à ce qu'ils reflètent la réorganisation récente et indiquent qui sont les champions et les propriétaires de risque. Le CHD a approuvé le profil de risque organisationnel le 13 octobre 2009. L'équipe de gestion présentera le cadre de gestion du risque au comité de vérification le 22 octobre pour faire recommander son approbation par le conseil d'administration.

Les 22 principaux risques définis lors de l'élaboration du cadre de gestion du risque des IRSC sont : la responsabilisation de la gestion, la structure de gouvernance, les relations avec les intervenants, les valeurs et l'éthique, l'application des connaissances, la gestion des résultats, l'allocation des fonds, l'élaboration des programmes en fonction des besoins, la conception des programmes, les procédures de fonctionnement normalisées, les pairs examinateurs, la participation des partenaires, la supervision des partenaires, la pertinence du personnel, le maintien de l'effectif, la planification de la relève, la gestion des connaissances, les contraintes budgétaires, le fonds de soutien des activités, l'information en vue de la prise de décisions, l'infrastructure des TI et la continuité des opérations. Ces 22 risques ont été réduits à 16 risques principaux dans le profil de risque organisationnel des IRSC, en fonction de leurs interdépendances et corrélations.

Le 21 août 2009, le conseil d'administration a approuvé le nouveau plan stratégique quinquennal 2009-2010 – 2013-2014, intitulé L'innovation au service de la santé. Selon ce plan, les IRSC adopteront les orientations stratégiques qui suivent, en vue d'atteindre les objectifs qui y sont liés, au cours des cinq prochaines années.

  1. Investir dans l'excellence pour une recherche de calibre mondial
    • Former, retenir et maintenir de solides assises de recherche
    • Choisir et soutenir l'excellence en recherche
    • Promouvoir l'innovation interdisciplinaire et internationale
  2. S'attaquer aux priorités de recherche sur la santé et les services de santé
    • Établir des priorités de recherche
  3. Profiter plus rapidement des avantages de la recherche pour la santé et l'économie
    • Récolter les retombées socio-économiques de la recherche par l'AC et les partenariats
    • Améliorer l'application et l'évaluation de la recherche
  4. Favoriser l'excellence organisationnelle, promouvoir l'éthique et démontrer l'impact
    • Favoriser l'excellence organisationnelle et assurer la transparence et la reddition de comptes
    • Promouvoir une culture de l'éthique
    • Évaluer les progrès et l'impact

Pour que la nouvelle stratégie soit efficace, les risques menaçant son application doivent être définis, évalués, atténués et surveillés. Ces risques correspondent à des hypothèses formulées dans le plan stratégique en ce qui concerne, par exemple, la disponibilité des ressources humaines et financières nécessaires, l'accessibilité des technologies requises, la viabilité de l'échéancier quinquennal au cours duquel toutes les activités visant l'atteinte des objectifs stratégiques doivent être réalisées, ou encore la collaboration des partenaires et des intervenants externes.

Depuis septembre 2009, les IRSC ont entrepris la réorganisation de leurs portefeuilles et directions dans le but d'appliquer cette stratégie. Cette réorganisation est une mesure d'atténuation des risques, mais elle comporte également des risques inhérents en matière de ressources, de temps et de détails techniques qui doivent être définis, évalués, atténués et surveillés.

Il est recommandé que le CSF, à titre d'agent principal de la gestion du risque, mette à jour le profil de risque organisationnel afin qu'il reflète l'évaluation des risques liés à la mise en oeuvre du nouveau plan stratégique, ainsi que la récente réorganisation des IRSC visant à faciliter l'application de ce plan.

Responsable : CSF

Mesure : Mettre à jour le profil de risque organisationnel des IRSC afin qu'il reflète l'évaluation des risques liés à la mise en oeuvre du nouveau plan stratégique, ainsi que la récente réorganisation des IRSC visant à faciliter l'application de ce plan.

Délai : La stratégie et le plan de mise en oeuvre du nouveau plan stratégique des IRSC (L'innovation au service de la santé) sont toujours en cours d'élaboration. On s'attend à ce que ces documents soient prêts à temps pour la réévaluation des risques au premier trimestre de 2010-2011. Le profil de risque a été mis à jour en octobre 2009 afin qu'il reflète la réorganisation des IRSC.

2. Il faut analyser les 16 principaux risques définis dans le profil de risque organisationnel pour connaître leur effet potentiel sur le nouveau plan stratégique et sur la réorganisation des IRSC.

Le profil de risque organisationnel établit les 16 principaux risques suivants, pour chacun desquels un niveau de risque (élevé, modéré, faible), un champion de risque, un propriétaire de risque, des répercussions et des mesures d'atténuation sont déterminés :

  • gestion des ressources humaines;
  • application des connaissances;
  • gouvernance et reddition de comptes;
  • gestion des résultats;
  • recrutement des pairs examinateurs;
  • viabilité du modèle de financement;
  • relations avec les intervenants;
  • conception des programmes;
  • pertinence des programmes par rapport aux besoins inhérents aux priorités de la recherche en santé;
  • valeurs et éthique;
  • gestion de l'information;
  • processus budgétaire;
  • procédures de fonctionnement normalisées;
  • infrastructure pour les besoins futurs;
  • gestion des partenariats;
  • continuité des opérations.

Ces 16 risques principaux peuvent avoir des conséquences importantes pour la mise en oeuvre du plan stratégique et de la réorganisation, c'est pourquoi l'évaluation et les mesures d'atténuation de ces risques devront peut-être être mises à jour.

Il est recommandé que le CSF réévalue les conséquences des principaux risques définis dans le profil de risque organisationnel pour la mise en oeuvre du nouveau plan stratégique et de la réorganisation des IRSC.

Responsable : CSF

Mesure : Mettre à jour le profil de risque organisationnel au besoin.

Délai : Cycle de réévaluation des risques – premier trimestre de 2010-2011

3. La politique provisoire de gestion du risque, incluse dans le cadre de gestion du risque des IRSC, énonce les objectifs, indique les responsabilités redditionnelles, les pouvoirs et les responsabilités en matière de gestion du risque, et doit être mise à jour et faire l'objet d'un rapport annuellement par l'agent principal de gestion du risque. Ce cadre n'aborde pas explicitement l'établissement de niveaux de tolérance à l'égard du risque (c'est-à-dire les limites acceptables de prise de risques).

Le Cadre de gestion intégrée du risque du CT donne les conseils qui suivent en matière de tolérance à l'égard du risque.

Tolérance à l'égard du risque

Il est essentiel, au moment de tracer le profil de risque de l'organisation, de connaître et de comprendre la tolérance actuelle à l'égard du risque des divers intervenants. L'évaluation de l'environnement opérationnel permet de savoir quels intervenants sont touchés par les décisions et les mesures prises par l'organisation, et de vérifier s'ils sont à l'aise avec les divers degrés de risque. En comprenant bien la tolérance actuelle à l'égard du risque des citoyens, des parlementaires, des groupes d'intérêt, des fournisseurs et des autres ministères, on peut tracer un profil de risque et prendre des décisions sur les risques à gérer, comment les gérer et jusqu'à quel point. Ceci aidera aussi à identifier les défis à relever lors des consultations et communications en matière de risque.

Les besoins et les attentes des citoyens sont de la toute première importance pour la fonction publique. Par exemple, la plupart des citoyens auront vraisemblablement un faible degré de tolérance à l'égard du risque dans le cas de questions liées à la santé et à la sécurité publiques (blessures, mortalité) ou à la perte de la réputation internationale du Canada. La tolérance à l'égard d'autres types de risque (par exemple, retards de projets, prestation moins rapide de services) peut ne pas être aussi évidente et son étude exigera peut-être plus de consultation.

On constate en général que l'inconnu réduit le niveau de tolérance à l'égard du risque, c'est-à-dire lorsque les impacts sont nouveaux, ne peuvent être observés ou sont à long terme. Le niveau de tolérance croît lorsque les gens sentent qu'ils peuvent exercer plus de contrôle (par exemple, on semble mieux tolérer le risque à l'égard des déplacements en voiture que des déplacements en avion).

Le degré de tolérance à l'égard du risque peut être établi après consultation des parties touchées ou par une évaluation de la réponse ou de la réaction des intervenants à des degrés d'exposition divers au risque. La tolérance à l'égard du risque peut varier avec le temps en fonction de la disponibilité de nouveaux renseignements ou de nouveaux résultats, de l'évolution des attentes de la société et de la participation des intervenants à l'analyse des compromis. Il faut, avant d'élaborer des stratégies de gestion, que l'ensemble de l'organisation comprenne l'approche commune d'évaluation de la tolérance à l'égard du risque.

La détermination et la communication du degré de tolérance de l'organisation à l'égard du risque constituent un volet essentiel de la gestion du risque. Elles permettent d'identifier les secteurs où un degré minime de risque est acceptable ainsi que ceux pour lesquels peuvent être tolérés des degrés supérieurs, quoique raisonnables, de risque.

Selon le cadre de gestion du risque des IRSC, ainsi que les instructions et conseils sur la gestion du risque contenus dans l'intranet, les risques élevés doivent être gérés activement, les risques modérés, surveillés régulièrement, et les faibles risques, gérés généralement en tant que question « de moindre importance » . Le profil de risque organisationnel des IRSC définit 16 risques principaux, leur degré (élevé, modéré, faible), les gestionnaires qui en sont responsables, leurs répercussions et les mesures d'atténuation. Cependant, les niveaux de tolérance à l'égard de ces risques (éviter, atténuer, accepter) ne sont pas encore établis. Ils doivent l'être dans le cadre d'une consultation auprès de tous les intervenants concernés, notamment le comité de vérification des IRSC et le conseil d'administration. Les niveaux de tolérance ainsi établis orienteront les stratégies d'atténuation :

  1. éviter le risque en cessant l'activité qui l'entraîne;
  2. réduire la probabilité;
  3. atténuer les conséquences;
  4. déplacer le risque;
  5. accepter le risque.

La stratégie choisie orientera à son tour la mesure d'atténuation à prendre, qui doit tenir compte des coûts et de l'efficacité. L'objectif de l'atténuation doit être de faire en sorte que le risque résiduel corresponde au niveau de tolérance établi. L'annexe B du présent document contient davantage d'information à ce sujet, tirée du Cadre de gestion intégrée du risque du CT.

Il est recommandé que le CSF ajoute l'exigence de consulter les intervenants clés des IRSC au sujet de l'évaluation des risques contenue dans le profil de risque organisationnel et de l'attribution des niveaux de tolérance à l'égard du risque aux risques détectés. Les intervenants concernés doivent comprendre le comité de vérification des IRSC et le conseil d'administration.

Responsable : CSF

Mesure : Établir des niveaux officiels de tolérance à l'égard du risque lors de consultations auprès de tous les intervenants concernés, dont le comité de vérification des IRSC et le conseil d'administration, au moyen des mécanismes établis de production de rapports.

Ces niveaux de tolérance orienteront les stratégies d'atténuation des risques :

  1. éviter le risque en cessant l'activité qui le crée;
  2. réduire la probabilité;
  3. réduire les conséquences;
  4. déplacer le risque;
  5. accepter le risque.

Délai : Cycle de réévaluation des risques (premier trimestre de 2010-2011)

4. Le profil de risque organisationnel décrit les 16 principaux risques, leur niveau estimé (élevé, modéré, faible) ainsi que leurs mesures d'atténuations respectives. Le profil doit également indiquer le niveau de tolérance proposé pour chacun d'eux, définir le niveau de risque résiduel que les mesures d'atténuation entraîneront, de même que les grandes étapes d'atténuation établies (la réduction par étapes des niveaux de risque prévue et le calendrier de ces étapes), de façon à ce que la progression et l'efficacité des mesures d'atténuation puissent être surveillées et faire l'objet de rapports.

Dans le profil de risque organisationnel, on attribue un niveau de risque à chacun des 16 principaux risques. Par exemple, comme le montre l'extrait ci-dessous, le domaine de la gestion des ressources humaines présente un niveau de risque élevé et ce risque doit être géré activement par le champion (le CSF) et le propriétaire du risque (le directeur des RH). De plus, on y explique la nature, les impacts et les mesure d'atténuation de ce risque.

Gestion des ressources humaines

Niveau Champion Propriétaire
Élevé – Gestion active CSF et vice-président, Planification et gestion des ressources Directeur des RH

Ce risque englobe :

  1. la planification adéquate de la relève;
  2. la capacité de conserver le personnel clé;
  3. la qualification adéquate du personnel.

Il existe un risque que les IRSC :

  1. soient dépourvus de plan ou de processus pour pourvoir délibérément et systématiquement les postes clés qui seront vacants et pour préparer la relève;
  2. ne soient pas en mesure de conserver leur personnel clé;
  3. ne réussissent pas à pourvoir leurs postes vacants avec des candidats ayant l'expérience et les compétences requises.

Impacts

Ce risque pourrait avoir de nombreux impacts : postes vacants pour une période prolongée; candidats internes ayant le bon profil mais mal préparés à leurs nouvelles fonctions; personnel inexpérimenté occupant des fonctions trop exigeantes pour leurs compétences; perte de mémoire organisationnelle; perte de compétences et de connaissances; épuisement professionnel des employés; insatisfaction au travail; augmentation des coûts de dotation en personnel; taux élevé de roulement et de postes vacants; incapacité pour les IRSC d'atteindre leurs objectifs opérationnels, de mettre au point des stratégies et de remplir leur mandat.


Atténuation

Afin d'atténuer ce risque, les IRSC repèrent les postes indispensables qui seront à pourvoir et préparent à cette fin un plan de relève chaque année. Le développement du leadership et la formation linguistique sont assurés de façon centrale de manière à doter les décideurs des aptitudes et des capacités requises pour relever les grands défis qui les attendent. Par ailleurs, on procède à une dotation anticipée chaque fois que c'est possible et on a considérablement simplifié le processus de dotation afin de réduire le délai de dotation à moins de trois mois. Les IRSC effectuent un suivi annuel sur les taux de conservation et de départ et ont mis en place un processus d'entrevues de départ. Dans la foulée du sondage effectué auprès des employés en 2008, on élabore actuellement un plan d'action visant à répondre aux besoins exprimés par le personnel. En outre, les IRSC assurent un suivi annuel portant sur 65 indicateurs de rendement en ressources humaines dans le but de prendre le pouls de l'organisation dans son ensemble et du niveau de satisfaction du personnel. Enfin, les champions de la haute direction collaborent avec la Direction des ressources humaines pour la mise en oeuvre de la stratégie des ressources humaines et pour voir à ce que les questions liées à la gestion des ressources humaines demeurent bien à la vue sur la liste des priorités.

Les niveaux de tolérance à l'égard de ce risque et des autres risques principaux n'ont pas encore été établis lors de consultations auprès de tous les intervenants concernés, dont le comité de vérification des IRSC et le conseil d'administration. Les niveaux de tolérance permettront de déterminer le niveau de risque résiduel acceptable pour les IRSC (élevé, modéré ou faible), ce qui permettra de fixer un objectif d'atténuation. Les niveaux de tolérance, les objectifs d'atténuation et les stratégies d'atténuation permettront de surveiller la progression et l'efficacité de l'atténuation, d'en rendre compte et de prendre des mesures correctives.

Il est recommandé que le CSF : propose des niveaux de tolérance à l'égard de chacun des risques principaux au comité de vérification en vue de leur évaluation et de leur recommandation; établisse leur niveau de risque résiduel; détermine les mesures, les ressources et les délais pour chacun de ces niveaux; rende compte régulièrement au comité de vérification de la progression et de l'efficacité de l'atténuation.

Responsable : CSF

Mesure : Mettre à jour le profil de risque organisationnel des IRSC en y ajoutant les niveaux de tolérance (c'est-à-dire les niveaux de risque visés) à la suite de consultations auprès de tous les intervenants concernés, dont le comité de vérification IRSC et le conseil d'administration, dans les délais prescrits en matière de rapports sur les risques. Les niveaux de tolérance permettront de définir les niveaux de risque résiduel acceptables de ces risques pour les IRSC, et donc de fixer les objectifs d'atténuation. Les niveaux de tolérance, les objectifs d'atténuation et les stratégies d'atténuation permettront de surveiller l'efficacité de l'atténuation et de prendre des mesures correctives.

Délai : Cycle de réévaluation des risques (premier trimestre de 2010-2011)

5. Conformément aux instructions des services financiers concernant la planification et l'établissement des budgets pour un exercice, il faudra annoncer, dans les plans opérationnels des directions, les objectifs ainsi que les risques et les mesures d'atténuation prévues. Dans les plans de 2009-2010, les risques n'étaient pas toujours définis de manière à pouvoir en faire une synthèse à verser au profil de risque de l'organisation en vue d'une gestion globale. Tantôt on indiquait des mesures d'atténuation, tantôt on omettait de le faire.
Certaines directions font état de risques tactiques (manque de ressources humaines ou financières, charges de travail excessives, etc.) qui rendent leurs objectifs opérationnels plus difficiles à atteindre. D'autres ont signalé les risques stratégiques que la non-réalisation de leurs activités poserait quant à l'atteinte des objectifs de l'ensemble des IRSC. Il nous faut un processus pour évaluer les risques décelés, les synthétiser et les gérer de façon adéquate. Ce problème a déjà été signalé dans le rapport de vérification interne de la gouvernance et il est de nouveau mentionné ici en raison de sa pertinence directe dans le contexte de la présente vérification. La recommandation et le plan d'action concernant cette observation sont déjà contenus dans la vérification de la gouvernance, et ne sont donc pas reproduits ici.

Annexes

A : Critères de vérification et conclusions

Les vérificateurs utilisent les définitions qui suivent pour évaluer le cadre de gestion du risque des IRSC.

Conclusion par rapport aux critères de vérification Définition des opinions
Bon contrôle Bonne gestion, aucune faiblesse matérielle relevée ou besoin de quelques améliorations mineures.
Problèmes modestes Le contrôle comporte des lacunes, mais le danger couru est limité, car la probabilité ou la conséquence du risque est faible.
Importantes améliorations nécessaires Nécessite d'importantes améliorations en ce qui a trait aux redressements financiers, ou la faiblesse des contrôles fait courir un important risque.

Conclusion générale
Les vérificateurs ont conclu que le cadre de gestion du risque des IRSC présente des problèmes modestes : les contrôles ont leurs points faibles, mais dans l'ensemble, l'exposition au risque est limitée, car la probabilité ou la conséquence du risque est faible et les gestionnaires ont repéré ces lacunes et adopté des mesures d'atténuation.

Critères Conclusions
Politique et procédures de gestion du risque
1. L'équipe de gestion dispose d'une approche officielle en ce qui concerne la gestion du risque. a. L'orientation et l'approche des IRSC en matière de gestion du risque sont consignées par écrit, bien diffusées et bien comprises. Bon contrôle

b. L'orientation et l'approche sont suffisamment globales et prévoient :

  • les objectifs des IRSC en matière de gestion du risque, y compris la valeur et la pertinence de la gestion du risque;
  • les exigences de la politique de gestion du risque des IRSC, qui comprennent, au minimum, la fréquence à laquelle les risques doivent être évalués et les niveaux de risque acceptables (niveaux de tolérance);
  • les processus, les méthodes et les outils de l'ensemble du cycle de gestion du risque (détection du risque, évaluation du risque, intervention en réponse au risque et surveillance du risque), y compris des lignes directrices sur l'utilisation de ces outils;
  • les rôles, responsabilités et obligations redditionnelles touchant la gestion du risque.

Problèmes modestes

Observations 3 et 4

Détection des risques
2. L'équipe de gestion détermine quels risques peuvent nuire à l'atteinte de ses objectifs.

a. Le processus de détection des risques est rigoureux :

  • il est structuré (consigné par écrit, diffusé et appliqué);
  • il fait appel à tous les niveaux de gestion et secteurs fonctionnels concernés (ceux qui ont une expertise pertinente) pour la détection des risques;
  • il est dirigé par une personne possédant les compétences et l'expérience nécessaires et relevant directement de la haute direction.
Bon contrôle

b. Le processus de détection des risques tient compte des sources tant internes qu'externes de risque, ce qui comprend, sans s'y limiter :

  • la conjoncture politique;
  • les lois, les politiques et les règlements;
  • les sources d'approvisionnement;
  • les changements technologiques;
  • les modifications des procédures de fonctionnement ou les restructurations organisationnelles;
  • la conjoncture économique;
  • les phénomènes naturels;
  • les changements et les capacités des ressources humaines;
  • les liens de dépendance et les relations avec les autres entités fédérales et les parties non gouvernementales.

Problèmes modestes

Observations 1 et 2

c. Les événements à risque sont définis sur le plan de l'entité et sur celui des activités. Bon contrôle
d. Le processus de détection des risques de l'équipe de gestion permet la définition des corrélations et des liens de dépendance.

Problèmes modestes

Observation 2

e. Tous les types de risque sont détectés, notamment :

  • les risques juridiques;
  • les risques opérationnels;
  • les risques financiers;
  • les risques quant à la réputation.
Bon contrôle
Évaluation des risques
3. L'équipe de gestion évalue les risques détectés. a. L'évaluation des risques est réalisée annuellement, idéalement dans le cadre du processus de planification stratégique.

Problèmes modestes

Observations 1 et 2

b. Il existe un processus et des lignes directrices officiels qui sont appliqués pour faciliter l'évaluation des risques auxquels sont exposés les IRSC. Bon contrôle
c. Le processus d'évaluation des risques tient compte des résultats de l'évaluation des contrôles internes et comprend une analyse des répercussions des risques et de leur probabilité.
d. Tous les niveaux de gestion et les secteurs fonctionnels concernés participent à l'analyse des risques (ceux qui ont une expertise pertinente).
e. Les méthodes d'évaluation des risques favorisent une évaluation composite des risques et permettent à l'équipe de gestion d'analyser les risques sur le plan de l'entité ou des portefeuilles.
Évaluation des contrôles
4. L'équipe de gestion repère et évalue les contrôles existants qui servent à gérer le risque.

a. Un processus et des lignes directrices officiels sont en place et sont appliqués pour qu'il soit plus facile de repérer les contrôles en place pour gérer les risques détectés

b. Un processus et des lignes directrices officiels sont en place et sont appliqués pour qu'il soit plus facile d'évaluer les contrôles en place pour gérer les risques détectés.

c. L'évaluation des contrôles est réalisée à partir d'information provenant de sources diverses, dont les cadres responsables, le service de vérification interne et d'autres parties comme la sécurité, les services juridiques.

Bon contrôle
Atténuation des risques
5. L'équipe de gestion intervient de façon officielle en réponse au risque résiduel.

a. Le niveau de gestion responsable du risque évalue l'exposition au risque résiduel en fonction des niveaux de tolérance établis.

b. Une intervention officielle en réponse au risque (éviter, atténuer ou accepter) a été consignée par écrit et transmise à toutes les parties touchées.

c. Des plans d'action sont mis en place pour gérer ou traiter les risques considérés comme inacceptables par l'équipe de gestion. Ces plans comprennent :

  • des mesures d'atténuations précises;
  • le délai d'application de ces mesures;
  • le propriétaire de chaque mesure.

Problèmes modestes

Observations 3 et 4

6. L'équipe de gestion informe correctement les intervenants concernés des risques et des stratégies de gestion du risque. a. L'information sur le risque est régulièrement présentée et étudiée lors des réunions des comités de gestion et de surveillance. Bon contrôle
b. L'information sur le risque (les risques et les stratégies de gestion du risque) est incluse dans les principaux rapports de planification et de rendement des IRSC. Bon contrôle
c. Les communications avec les intervenants sur les risques et les stratégies de gestion du risque sont pertinentes et effectuées dans des délais raisonnables.

Problèmes modestes

Observations 3 et 4

7. L'équipe de gestion tient compte de l'information sur les risques lors de la planification et de l'allocation des ressources.

a. Des outils de planification tenant compte des risques sont en place et sont correctement utilisés dans le cadre des processus de planification stratégique et opérationnelle.

b. L'information sur les risques est utilisée pour orienter les décisions de gestion importantes.

c. L'information sur les risques est utilisée dans le cadre de la planification de la continuité des opérations.

Problèmes modestes

Observation 5

Gouvernance et surveillance
8. Les IRSC surveillent et assurent la qualité de la gestion du risque de manière indépendante et font preuve de diligence raisonnable dans la prise de décisions concernant les risques. a. Il existe un comité de surveillance (comme le comité de vérification des IRSC) ayant la responsabilité de surveiller et les risques et la gestion du risque. Bon contrôle
b. Ce comité de surveillance reçoit et étudie des renseignements pertinents et complets de sources diverses (dont l'équipe de gestion et les vérificateurs internes) dans les délais prescrits, afin de pouvoir surveiller le profil de risque de l'équipe de gestion et les stratégies de gestion du risque.
c. Le comité de surveillance respecte les niveaux de tolérance à l'égard du risque de l'organisation. Ces critères ne s'appliquent pas au moment de la vérification, car le cadre de gestion du risque et le profil de risque organisationnel n'ont pas encore été approuvés.
d. Le comité de surveillance rend compte au conseil d'administration de la qualité de la gestion du risque et des risques importants.
Amélioration continue
9. Les IRSC favorisent la formation au sein de l'organisation et améliorent le rendement en matière de gestion du risque. Chaque année, l'équipe de gestion évalue son profil de risque et ses pratiques de gestion du risque, les met à jour et en rend compte, pour s'assurer de prendre des mesures d'atténuation dans des délais raisonnables et de tenir compte des nouveaux risques lorsqu'ils apparaissent.

B : Gestion intégrée du risque – Guide de mise en oeuvre

Comprendre la tolérance à l'égard du risque

La tolérance d'une organisation à l'égard du risque dépend de sa culture et de l'évolution de son environnement interne et externe. Il importe de comprendre la tolérance d'une organisation et celle de ses principaux intervenants à l'égard du risque parce que ces deux considérations affecteront et guideront le processus décisionnel. La direction doit déterminer quels risques l'organisation peut accepter et à quel niveau, puis réévaluer ces choix à mesure que les circonstances changent.

Il devrait y avoir un lien direct entre la tolérance à l'égard du risque et les attentes en matière du rendement et ce, à l'échelle de toute l'organisation. La direction doit comprendre la corrélation entre, d'une part, le degré et la durée des écarts défavorables par rapport aux attentes ou aux cibles établies en matière de rendement et, d'autre part, le degré d'exposition au risque.

Il faut tenir compte de ce qui suit pour comprendre le niveau de tolérance de l'organisation et de ses principaux intervenants à l'égard du risque :

Le diagramme qui suit illustre la notion de tolérance à l'égard du risque en rapport avec le coût de la gestion en fonction des différents niveaux de risque. Source : Présentation de Kevin W. Knight, Ottawa, juin 2003.

Tolérance à l'égard du risque en rapport avec le coût de la gestion en fonction des différents niveaux de risque

Date de modification :